ขุดครับ
เผื่อมีประโยชน์ เรื่องไวรัสบน removeable drive
แต่จริงๆมันก้เรื่องเก่าแหละ
เนื่องจากเมื่อวาน เครื่องที่ห้องผมโดน สคริปไวรัสจากพวก removeable drive ที่อิตกันในปัจจุบัน ตัวนึงนะครับ อาการก็คือ
- เสียบปุ๊บ รันปั๊บ และ ก๊อปตัวเองไปทุกๆไดร
- มี POP UP ขึ้นว่า VIRUS INFECT GAME ONLINE..!! มาเรื่อยๆ และมาบ่อยๆ
- หัว IE ขึ้นว่า ORIGINAL virus SILLE run on GAME ONLINE
- ที่ร้ายสุด เรียก regedit ไม่ขึ้น สแกนไวรัส หาไม่เจอ และเนื่องจากในเครื่องมีงาน config อยู่ จึงลงวินโดวใหม่ไม่ได้ จึงจำใจลองเล่นกับมันสักตั้ง
เลยลองคนข้อมูลวิธีแก้ในเน็ต แต่เหมือนมันเพิ่งมีไม่นานก็ไม่ทราบได้ ข้อมูลมีน้อยมาก และยังไม่มีวิธีแก้ ไม่เหมือนกับน้องก๊อต
แต่เหมือนมันจะพัฒนามาจากน้องก๊อต อีกทีหนึ่งตรงที่ มันไปห้ามการใช้งานของน้องเร็ก (regedit) แต่จากการได้อ่าน
วิธีแก้ของ gozzila ก็พอจะเข้าใจคร่าวๆ และได้ใช้ความรู้ งูๆปลาๆ ทดลอง ต่างๆ และเอามาโพส เผื่อใครเจอ แบบอื่น
จะได้มีแนวทางวิเคราะห์ ฟังกันขำๆ
1. ไวรัสแนว removeable drive นี้ อาศัยหลักการ ออโต้รัน แบบเสียบปุ๊บก็ เล่นปั๊บ ซึ่งเป็น default ของวินโดว( เราสามารถกด shift ตอนเสียบ เพื่อไม่ให้มัน ออโต้รัน ได้ หรือ จะไปแก้ใน reg ก็ได้)
2. เปิดใน removeable drive จะมีไฟล์ ซ่อนอยู่ 2 ไฟล์ คือ
autorun.inf และ
happy.vbs ซ่อนอยู่
3. ซึ่งไฟล์
autorun.inf จะทำงานทันทีที่ เกิด auto run ลองอ่านในไฟล์ นี้จะเห็นว่า มันได้มีการไปเรียก happy.vbs ซึ่งเป็นไฟล์หลัก ให้ทำงาน
4 คราวนี้ เราก็ลองมาดูที่ ไฟล์
happy.vbs บ้าง
โหว ผมไม่เคยเขียนภาษานี้ ใครรู้ว่าผิดตรงไหนก็บอกได้นะครับ แต่ พอจะอ่านคร่าวๆได้ว่า
ส่วนที่1เป็นการตรวจสอบไดร ต่างๆของเครื่อง เรา และ ทำการ สร้างไฟล์autorun.inf และ happy.vbs ขึ้นมาที่ไดรนั้นๆด้วย
ส่วนที่ 2 มันได้มีการไปแก้ไข registry ของเราตาม path นั้นๆเลย ก็มีประมาณ
- ทำหัวของ IE ให้เป็น "ORIGINAL virus SILLE run on GAME ONLINE"
- Start Page ให้เป็น","_http://www.virus-sille/gameonline.net"
- และ DisableRegistryTools",1,"REG_DWORD" ปิดเร็กอีดิท เราไปด้วย (ส่วยใหญ่ 1 หมายถึง การเปิดการทำงาน นี่จึงน่าจะอ่านว่า เปิดการทำงานของ DisableRegistryTools)
- ของแถมอีกมากมาย
ส่วนที่ 3 ที่มาของการ POP UP ที่ขึ้นมาเรื่อยๆๆๆ
วิธีการแก้ไขของผมคือขั้นต้นผมทำเหมือนๆกับ gozzila คือ ปิดโปรเซสของไวรัสที่รันอยู่ แล้วทยอย ลบไฟล์ทั้ง 2 ในแต่ละไดร แต่ ติดการแก้ reg กลับนี่แหละ จะแก้กลับยังไงดี
คิด คิด คิด เปิด regedit ไม่ได้ ทำไงดี ตอนแรก ก็ไปลอง export reg ในส่วนของ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System จากเครื่องอื่นที่ดีมา คิดว่ามันจะเข้าไปเซฟได้โดยไม่ผ่าน regedit แต่มันก็ต้อง run reg อยู่ดี ข้อนี้จึงผ่านไป
คิดไปคิดมา ก็เลยลองเขียนเลียนแบบไฟล์ happy.vbs ขึ้นมาประมาณนี้ แล้วมัน ก็ได้ครับ regedit ใช้ได้อีกครั้ง คราวนี้ อยากแก้อะไรก็แก้ ตาม path ที่ไฟล์ happy มันเข้าไปแก้เลยครับ
ปล. เหมือนคนเขียนไอไฟล์นี้มันจะเป็นคนไทย และ อกหักจากน้องส้มมา เลยสงสัยว่าคนนี้เกี่ยวข้องกับเจ๊ส้ม ที่จะพาแฟนไปเที่ยวดรีมเวิลด้วยป่าว
ปล2. อย่าเอาไปเขียนแกล้งเพื่อนเลยนะครับ หรือถ้าจะแกล้ง ก็เขียนอย่าโหดมากละกัน
ปล3. ตูกำลังจะเขียนเล่นเป็นของตัวเอง
ปล4. ใครอยากเอาไปเล่น บอกได้นะ
